Vũ khí hóa phần mềm độc hại: Tội phạm sử dụng chứng thực số như thế nào

WeaponizedMalware: How Criminals are Using Digital Certificates

Security | Guest Opinion| Jeff Hudson, Monday, January 10, 2011

Theo:http://www.ctoedge.com/content/weaponized-malware-how-criminals-are-using-digital-certificates

Bài được đưa lênInternet ngày: 10/01/2011

Lờingười dịch: Stuxnet từng sử dụng 4 lỗi ngày số 0trong Windows và những chứng thực số bị ăn cắp đểđẩy lùi tham vọng hạt nhân của Iran. “Phần mềm độchại được vũ khí hóa Stuxnet là một lời cảnh tỉnhrất mạnh mẽ khi nó đã khai thác những thực tế quảnlý tồi của các chứng thực số mà đang tồn tại trongnhiều hãng ngày nay. Việc triển khai những thực tế vàchính sách cho sự quản lý các chứng thực số là mộtthành phần quan trọng và cần thiết của một chiến lượcan ninh bao quát và rộng rãi. Đây là một chiến lược màcó thể dò tìm ra được sự xuất hiện của phần mềmđộc hại mà nó sử dụng các chứng thực số để xácthực. Các phần mềm độc hại được vũ khí hóa đãhoặc sẽ nhắm tới mọi công ty trong Global 2000. Tráchnhiệm là phải hành động trước khi vũ khí đó tấncông”. Quản lý chứng thực số yếu kém sẽ tạo ranhững rủi ro không thể lượng hóa và không thể quảnlý được và là miếng mồi cho các phần mềm độc hạiđược vũ khí hóa như Stuxnet.Đó là thông điệp của bài viết này.

Cuộc tấn công khônggian mạng gần đây vào cơ sở hạt nhân của Iran có sửdụng virus Stuxnet gây lo lắng cho tất cả chúng ta - khôngchỉ cho những người gần lân cận mà họ đang nằmtrong sự nguy hiểm bị đánh trong thế giới tiếp theonhững hành động của một virus máy tính.

Những đầu đề xungquanh câu chuyện về cuộc tấn công của Stuxnet vào cơ sởhạt nhân của Iran đã quen thuộc: “Cuộc tấn công mớibằng phần mềm độc hại”. An ninh số đe dọa và đôikhi bị thổi phồng xung quanh chúng đã trở thành phổbiến trong thế giới kết nối mạng và phụ thuộc vàoIT của chúng ta. Tuy nhiên, đây từng là một cuộc tấncông không bình thường. Có lẽ phần mềm độc hại đãđược giới thiệu trong mạng cục bộ của các cơ sởhạt nhân của Iran. Nó đã đi vào giữa Internet và mạngnội bộ. Khả năng khác từng là một người trong cuộcđáng tin cậy mà từng là một tác nhân của tổ chức màđã triển khai cuộc tấn công.

Như các nhà nghiêncứu sau này đã phát hiện, cuộc tấn công đã sử dụng4 khai thác ngày số 0 khác nhau trong các nền tảng Windows.Bổ sung vào các cuộc tấn công lỗi ngày số 0, “tảitrọng” đã đưa vào một chứng thực điện tử bị ăncắp mà đã được phát hành bởi Verisign. Virus tự pháttán và lan truyền tới nhiều máy. Nhiệmvụ của virus này là tự động phát tán điên cuồng (đãkhông có kênh phản hồi cho một máy chủ ra lệnh và kiểmsoát vì đây từng là một mạng được cô lập). Nó sauđó đã định vị và hoạt động như một chiếc van hoặcmodule kiểm soát mà từng là một phần sống còn của hạtầng cơ sở hạt nhân, với dự định làm vô hiệu hóahoặc gây tổn hại cho cơ sở này. Nói một cách khác:hành động như một vũ khí. Đây là một bước đáng kểtrong sự phát triển phần mềm độc hại.

Therecent cyber attack on an Iranian nuclear facility using the Stuxnetvirus shouldworry all of us - not just those in close proximity who were indanger of being blown into the next world by the actions of acomputer virus.

Theheadlines around the story of the Stuxnet attack on an Iraniannuclear facility were familiar: “New Malware Attack." Digitalsecurity threats and sometimes the hype surrounding them have becomecommonplace in our interconnected and IT-dependent world. However,this was no ordinary attack. Apparently malware was introduced intothe Iranian nuclear facilities local area network. It entered betweenthe Internet and the internal network. The other possibility was atrusted insider who was an agent of the organization that carried outthe attack.

Asresearchers later discovered, the attack used four different zero-dayexploits on Windows platforms. In addition to the zero-day attacks,the "payload" included a stolen digital certificate thatwas issued by Verisign. The virus was self-propagating and spread tonumerous machines. The mission of this virus was toauto-propagate in the wild (there was no back channel to a commandand control host as this was an isolated network). It was then tolocate and operate a valve or control module that was a critical partof the nuclear facility’s infrastructure, with the intent ofdisabling or damaging the facility. In other words: to act as aweapon. This is a significant step forward in the development ofmalware.

Tiếpcận truyền thống, độc hại nhằm gây hại cho cơ sởcó thể là sử dụng vũ khí truyền thống (như bom). Sựkhác biệt đáng ngạc nhiên là việc phần mềm độc hạinày đã có ý định gây hại một cách cơ khí cho cơ sởđó mà không đưa ra lực lượng cơ học phá hoại nàovào trong bản thân nó. Nói cách khác: Đây là phần mềmđộc hại được thiết kế đặc biệt để hoàn thànhmột công việc của một vũ khí. Nó vì thế đã xứngđáng được phân loại rõ ràng như là “phần mềm độchại được vũ khí hóa”.

Phần mềm độc hạiđặc biệt này được đánh giá đã mất 10 người - nămnỗ lực để phát triển. Nó là phức tạp. Cáccông cụ được sử dụng để phát triển, khung thờigian trong các tệp nhị phân và số lượng các module vớicác kiểu lập trình khác nhau gợi ý có nhiều đội pháttriển. Gốc gác của phần mềm độc hại đã không đượckiểm chứng mà hầu hết lý thuyết phổ biến nhất làviệc thứ này đã được phát triển bởi một hoặc vàiquốc gia có mong muốn phá hủy chương trình hạt nhân củaIran.

Iran có số phần trămcác vụ việc được biết về virus Stuxnet lớn nhất. Tuynhiên, nó cũng được thấy trong những hệ thống tạinhiều quốc gia khác. Các chuyên gia dự báo rằng vô sốnhững sự việc không được dò tìm ra vẫn sẽ còn đanghoạt động.

Đây là một thực tếđược thiết lập tốt rằng nhiều vũ khí được pháttriển bởi những chương trình quân sự quốc gia đã trởnên sẵn sàng đối với các thực thể nhà nước phi quốcgia, như những kẻ khủng bố, những nhà nước quốc giaxấu xa và những tổ chức tội phạm. Chỉ còn là vấnđề thời gian. Nhưng ví dụ là: các kính nhìn đêm, cáchệ thống định vị toàn cầu GPS, máy bay không ngườilái, súng trường tự động hoàn toàn, các tên lửa vácvai, một vài thứ như vậy.

Thetraditional, malicious approach to damaging the facility would havebeen to use a conventional weapon (i.e. a bomb). The astonishingdifference is that this malware was attempting to do mechanicaldamage to the facility without supplying the destructive mechanicalforce on its own. In other words: This was malware designedspecifically to accomplish the work of a weapon. It has thereforeearned the dubious classification as "weaponized malware."

Thisparticular malware is estimated to have taken 10 man-years of effortto develop. It is sophisticated. The tools used in development, thetimestamps on the binaries and the number of modules with differentcoding styles suggest multiple development teams. The origin of themalware has not been verified but the most popular theory is that itwas developed by a nation state or states that were attempting todisrupt the Iranian nuclear program.

Iranhas the largest percentage of known instances of the Stuxnet virus.However, it has also been found on systems in many other countries.Experts predict that numerous, undetected instances are still active.

Itis a well-established fact that many weapons developed by nationalmilitary programs become available to non-nation state entities, suchas terrorists, rogue nation states and criminal organizations. It isjust a matter of time. Examples are: night-vision goggles, GPSsystems, airborne drones, fully automatic rifles, Kevlar body armorand shoulder launched missiles, to name just a few.

Các câu hỏi là: Khinào những phần mềm độc hại được vũ khí hóa này vànhững biến thể của nó sẽ được sử dụng để pháhoại, vô hiệu hóa hoặc ăn cắp những tài sản và thôngtin có giá trị từ các quốc gia, tiện ích, ngân hànghoặc các công ty truyền thông khác? Chúng ta có thể làmgì được đối với chúng?

Phầnmềm độc hại được vũ khí hóa Stuxnet đã sử dụngcác chỗ bị tổn thương ngày số 0 để gây lây nhiễm,và đã sử dụng một chứng thực số được ký để tựxác thực trong môi trường. Chứng thực đó đã cho phépphần mềm độc hại hành động như một ứng dụng tincậy và giao tiếp với những thiết bị khác. Đây là sựviệc đầu tiên được báo cáo đối với việc sử dụngmột chứng thực số ở dạng này của cuộc tấn công,và là một sự phát triển rất đáng lo ngại và báo điềmgở.

Mức độ đe dọa đãchuyển ra khỏi thời gian làm tê liệt hệ thống và uytín bị tổn thương vì chứng thực của bạn đã hếthạn đối với sự gây hại vật lý đối với bạn vàcác nhân viên của bạn nếu virus thành công trong việclàm cho một quy trình sản xuất hoặc sử dụng thành sốngcòn.

Sửdụng 4 chỗ bị tổn thương và một chứng thực số bịăn cắp báo hiệu sự bắt đầu của một kỷ nguyên mớivề chiến tranh không gian mạng và tội phạm không gianmạng. Những ảnh hưởng là khổng lồ. Đây khôngphải là sự việc đầu tiên đối với loại này. VirusAurora từng là một biến thể được sinh ra đầu tiên vàStuxnet thể hiện một bước nhảy tiến bộ đáng kểtrong sự tinh vi và phức tạp. Bổ sung thêm, chi phí tiềmtàng đối với tổ chức đích trong sự kiện cuộc tấncông thành công là có hơn so với từ trước tới nay.

Thequestions are: When will weaponized malware and its derivatives beused to destroy, disable or steal valuable assets and informationf-rom other nations, utilities, banks or telecommunication companies?What can we do about it?

TheStuxnet weaponized malware used multiple zero-day vulnerabilities toinfect, and employed a signed digital certificate to authenticateitself in the environment. The certificate allowed the malware to actas a trusted application and communicate with other devices. This isthe first reported incident of the use of a digital certificate inthis type of attack, and is a very ominous and worrying development.The level of threat has moved f-rom downtime and a damaged reputationbecause your certificate has expired to physical damage to you andyour employees if the virus successfully makes a manufacturing orutility process go critical.

Theuse of four zero-day vulnerabilities and a stolen digital certificatesignals the beginning of a new era of cyber warfare and cybercrime.The implications are enormous. This is not the first occurrence ofthis species. The Aurora virus was a first-generation variant andStuxnet represents a significant evolutionary leap in complexity andsophistication. Additionally, the potential costs to the targetedorganization in the event of a successful attack are higher thanever.

Nhữngchỗ bị tổn thương ngày số 0 là, bằng định nghĩa,không thể bảo vệ chống lại. Sử dụng những chứngthực số không được phép của phần mềm độc hạiđược vũ khí hóa trong một môi trường kết nối mạnglà một vấn đề khác. Có những bước mà các tổ chứccó thể nắm lấy đề giảm thiểu đáng kể rủi ro củamột cuộc tấn công thành công.

Sự quan tâm đầutiên là tri thức của các chứng thực số mà là tích cựctrong một mạng. Hầu hết các tổ chức không biết chúngcó bao nhiêu, chúng được cài đặt ở đâu, ai đã càiđặt chúng, tính hợp lệ và ngày hết hạn của cácchứng chỉ số trong mạng. Đây là một sự tương đồngsong song trong một thế giới an ninh vật lý. Điềunày chính xác y hệt như việc không biết người nàotrong một tòa nhà an ninh và không được phép hiện diệntrong những cơ ngơi đó và ai là những người không đượcphép. Hãy tưởng tượng một ngân hàng nơi mà không aibiết những người nào trong tòa nhà là không được phépở trong đó hay không. Đây không là một sự cường điệu.Đây là một tình huống không thể chấp nhận được đốivới mọi người mà cho an ninh là nghiêm túc. Đây là mộtrủi ro không lượng hóa được.Thực tế chấp nhận được duy nhất là phát hiện tiếptục và tích cực những chứng thực trên mạng.

Bổ sung thêm, nhữngchứng thực đó phải được kiểm chứng rằng chúng đanghoạt động như mong đợi và rằng chúng được giám sátthông qua vòng đời sao cho chúng có thể hết hạn và đượcthay thế như được chỉ định bởi các chính sách vềan ninh của tổ chức. Hầu hết các tổ chức là thiếuhụt về điều này. Đây là một rủira không quản lý được và cóthể dễ dàng được quản lý dưới mức cần thiết.Không quản lý được đạng rủi ro này sẽ làm gia tăngđối với các tổ chức những chỗ bị tổn thương nhưcuộc tấn công của Stuxnet. Đây không phải là việc phaotin đồn nhảm - đây là một mối đe dọa thực sự màsẽ ảnh hưởng tới một tổ chức lúc nào đó sớm.

Zero-dayvulnerabilities are, by definition, impossible to defend against. Theuse of unauthorized digital certificates by weaponized malware in anetworked environment is another matter. There are stepsorganizations can take to significantly reduce the risk of asuccessful attack.

Thefirst consideration is the knowledge of digital certificates that areactive in a network. Most organizations do not know how manythey have, whe-re they are installed, who installed them, theirvalidity and the expiration date of the digital certificates in theirnetwork. Here’s a parallel analogy in the world of physicalsecurity. This is exactly the same as not knowing which people in asecure building are authorized to be on the premises and which onesare unauthorized. Imagine a bank whe-re no one knew which people inthe building were authorized to be there or not. This is not anexaggeration. This is an unacceptable situation to anyone who takessecurity seriously. This is anunquantified risk.The only acceptable practice is to continually and actively discovercertificates on the network. 

Additionally,those certificates must be validated that they are functioning asintended and that they are monitored throughout their lifecycle sothat they can be expired and replaced as dictated by the securitypolicies of the organization. Most organizations are deficient inthis regard. This is anunmanaged risk andcan be easily brought under management. A failure to manage this kindof risk exposes organizations to increased vulnerabilities like theStuxnet attack. This is not scaremongering – it is a real threatthat will affect an organization sometime soon.

Vì sao các tổ chứctự bộc lộ mình cho sự rủi ro không lượng hóa đượcvà không quản lý được này? Lý do đủ đơn giản đểhiểu. Trước Stuxnet, tri thức và sự quản lý yếu đuốicác chứng thực số đã được xem là chấp nhận được.Hơn nữa, nhiều lãnh đạo mức cao không quen với cácchứng thực số, cách mà chúng làm việc, vai trò trong anninh, và các thực tiễn và các chính sách quản lý củachúng. Điều này phải thay đổi. Không có lãnh đạo cấpcao nào mà hiểu sai hoặc đánh giá không đúng mức tầmquan trọng của việc đảm bảo rằng chỉ những cá nhânđược phép có thể vào được một tòa nhà an ninh. Cũngnhững lãnh đạo này lại ngây thơ cho phép những chứngthực không được phép và không biết vào được và hoạtđộng được trong các mạng của họ.

Để tổng kết, córủi ro không lượng hóa được và không quản lý đượcmà nó cho phép Stuxnet nhân giống và hoạt động trong mộtmạng. Điều này đại diện cho một thực tế quản lýtồi của một phần sống còn của một mô hình an ninhđược đặt ra. Các chứng thực số được sử dụngrộng rãi để nhận dạng và xác thực cho những thựcthể trong một mạng. Những thực tế quản lý tồi trảvề những chứng thực số không có hiệu quả đối vớimục đích có dự định của họ. Trong thực tế, sựquản lý tồi trong một số trường hợp sẽ tạo ra mộtcơ hội khái thác.

Phầnmềm độc hại được vũ khí hóa Stuxnet là một lờicảnh tỉnh rất mạnh mẽ khi nó đã khai thác những thựctế quản lý tồi của các chứng thực số mà đang tồntại trong nhiều hãng ngày nay. Việc triển khai những thựctế và chính sách cho sự quản lý các chứng thực số làmột thành phần quan trọng và cần thiết của một chiếnlược an ninh bao quát và rộng rãi. Đây là một chiếnlược mà có thể dò tìm ra được sự xuất hiện củaphần mềm độc hại mà nó sử dụng các chứng thực sốđể xác thực. Các phần mềm độc hại được vũ khíhóa đã hoặc sẽ nhắm tới mọi công ty trong Global 2000.Trách nhiệm là phải hành động trước khi vũ khí đótấn công.

Whyare organizations exposing themselves to this unquantified andunmanaged risk? The reason is simple enough to understand. BeforeStuxnet, the lackadaisical knowledge and management of digitalcertificates was viewed as acceptable. Additionally, many board-levelexecutives are not familiar with digital certificates, how they work,their role in security, and the management practices andpolicies. This has to change. There is not one board-levelexecutive who misunderstands or underestimates the importance ofensuring that only authorized individuals can enter a securebuilding. Those same executives naively allow unauthorized or unknowncertificates to enter and operate on their networks.

Insummary, there is unquantified and unmanaged risk that allows Stuxnetto propagate and operate on a network. This represents bad managementpractice of a critical part of a layered security model. Digitalcertificates are widely used to authenticate and identify entities ina network. Poor management practices render digital certificatesineffective for their intended purpose. In fact, poor management insome cases cre-ates an exploitation opportunity.

TheStuxnet weaponized malware is a very loud wakeup call as it hasexploited the poor management practices of digital certificates thatexist in many firms today. Implementing practices and policies forthe management of digital certificates is an important and necessarycomponent of a broad and wide security strategy. It is the onestrategy that can detect the appearance of malware that utilizesdigital certificates for authentication. Weaponized malware hasalready been or will be aimed at every company in the Global 2000.The responsibility is to act before the weapon strikes.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com